Für Tests einer Gesichtserkennungs-Software hat das deutsche Bundeskriminalamt (BKA) Millionen Fotos aus einer Polizeidatenbank genutzt. Laut Recherchen des 'Bayerischen Rundfunks' (BR) wurden knapp fünf Millionen Gesichtsbilder aus dem zentralen polizeilichen Informationssystem INPOL-Z extrahiert und dem Fraunhofer Institut für Graphische Datenverarbeitung zur Verfügung gestellt.

Im Jahr 2019 habe das Institut im Auftrag des BKA Gesichtserkennungssoftware verschiedener Hersteller evaluiert. Das Projekt lief unter dem Namen EGES – "Ertüchtigung des Gesichtserkennungssystems im BKA". Ziel sei es gewesen, anhand echter Bilder herauszufinden, wie gut das vom BKA eingesetzte System im Vergleich mit den Produkten von vier anderen Herstellern abschneidet.

Die Bilder stammen von etwa drei Millionen Personen. Das gehe aus dem Abschlussbericht des Projekts hervor, der dem 'BR' vorliegt. Das BKA schrieb auf dessen Anfrage, die Tests seien "angesichts der hohen Bedeutung der Gesichtserkennung für die Strafverfolgung und Gefahrenabwehr" erforderlich gewesen.

Es sei jedoch fraglich, ob das Bundeskriminalamt überhaupt dazu berechtigt war, so der Bericht. Laut Mark Zöller, Professor für Strafrecht und Digitalisierung an der Ludwig-Maximilians-Universität München, belegt der aktuelle Fall, dass Sicherheitsbehörden bei neuen Technologien immer wieder ohne saubere Rechtsgrundlage vorpreschen. Bei einer solchen Datenverarbeitung gehe es um Grundrechtseingriffe, "gerade von Personen, die vielleicht unschuldig im INPOL-System gelandet sind". In Deutschland ist bereits das Bundesland Bayern wegen der Verwendung der Software von Palantir in die Kritik geraten.

Das BKA hat gemäss interner Behördenkommunikation, die dem 'BR' ebenfalls vorliegt, gegenüber dem Bundesdatenschutzbeauftragten das Projekt als "wissenschaftliche Forschung" deklariert und sich auf einen Paragrafen im BKA-Gesetz berufen. Die Datenschutzbehörde nannte den Vorgang in einem Schreiben aus dem Jahr 2022 "problematisch" und bezweifelte, dass es bei den Tests um Wissenschaft ging.

Von einer Beschwerde sei aber "angesichts der Komplexität der Rechtslage" abgesehen worden. Offenbar fündig wurden die Datenschützer dann im Datenschutzgesetz (DSGVO): "Das Testen von Software-Produkten fällt nicht in den Bereich von Strafverfolgung und Gefahrenabwehr, weshalb hier die DSGVO zur Anwendung kommt." Die Datenschutzbehörde sei auch nur spärlich über das Projekt informiert worden. Den Abschlussbericht habe sie erst eineinhalb Jahre nach Fertigstellung des Projekts erhalten und erst dann erfahren, dass für die Tests Echtbilder verwendet wurden.

Das BKA betont, dass sich die Computer, auf denen die Auswertungen durchgeführt wurden, in einem eigens bereitgestellten Raum ohne Internetzugang in Wiesbaden (Standort des BKA) befunden hätten. Die verwendeten Festplatten seien nach Abschluss des Projekts zerstört worden.